专利名称:一种检测网络失泄密的方法和系统的制作方法
技术领域:
本发明涉及信息安全领域,特别涉及一种检测网络失泄密的方法和系统。
背景技术:
随着技术的发展,网络的应用越来越普遍。习惯上,我们把与互联网隔离的网络称为内网,它是一个封闭的网络,通常是单位出于安全考虑而与互联网隔离,以保障敏感甚至是涉密信息的外泄。相应地,我们把互联网称为外网。正常情况下内网和外网是物理隔离的,涉密信息是不会外泄的,但是随着信息技术的发展,当前失泄密问题形势严峻,发生失泄密事件的部门、单位绝大多数涉密信息系统都采用了诸如身份认证、服务器加固、网络边界、网络链路加密、主机监控与审计、防病毒等防护手段,也均制定了严格的保密规章管理制度,但是因为涉密人员的主客观因素,还是造成了失泄密事件的发生。从当前发生失泄密事件的多个案例来看,造成涉密信息系统失泄密的主要因素有以下三个方面,一是没有严格落实保密的规章制度,例如U盘交叉使用造成的摆渡攻击失泄密、互联网机器反弹木马主动失泄密、无线网络被激活造成恶意上网泄密等;二是安全防护产品没有有效发挥其应有的功能,造成核心涉密信息的知密范围扩大化,从而使得一般涉密人员、甚至是非涉密人员掌握大量国家秘密,为失泄密埋下了重大隐患;三是主要业务应用系统的安全保密建设没有到位,例如目前涉密信息系统的主流办公系统OA (Off ice Automation,自动化办公)普遍采用B/S(Browser/Server,浏览器和服务器)模式的 WEB (网络)应用,对于TOB应用的主要攻击手段SQL (Structured Query Language,结构化查询语言)注入等没有采取有效的规避措施,为网络失泄密事件的发生留下了重大安全隐患,所有这些主客观因素都是当前及今后一段时间造成失泄密事件的主要原因,也是当前保密工作急需解决的问题。关于防止通过网络造成失泄密事件,目前常用的方法和措施是禁止网络联接,禁止员工上网,或严禁涉密或涉及核心技术、专利的计算机上网。具体技术手段为在网络层进行IP (Internet Protocol,网络之间互联的协议)地址安全控制,提供默认访问控制和黑白名单等安全控制方法,以及IP流量统计等。在传输层进行TCP/UDR(Transmission Control Protocol/传输控制协议端口安全控制,提供默认访问控制和黑白名单等安全控制方法。网络层和传输层组合控制IP地址/端口组合安全控制,提供黑名单控制方法。在应用层主要是针对具体的应用,如HTTP (HyperText Transfer Protocol,客户端和服务器端请求和应答的标准)、FTP (File Transfer Protocol,文件传输协议)、MSN Messenger (Microsoft Service Network Messenger,即时消息软件)、电子邮件等进行安全控制,提供端口重定义、默认访问控制、黑白名单、日志、重放等安全控制方法,以及流量统计等。这些技术和措施主要是人为的控制、监督管理方法,目的是为了堵住可能失泄密的途径和漏洞,从技术上讲,其手段也过于复杂。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题目前,市场上的保密检查工具以检查文件操作痕迹和是否连接互联网为主,以检查计算机的操作系统、用户、口令、进程、日志等其他信息为辅,基本上侧重于违反保密管理与制度的事后取证,对排查涉密管理与涉密信息系统的失泄密隐患具有一定作用。
发明内容
本发明的主要目的在于检测敏感网络外联的问题,本发明实施例提供了一种检测网络失泄密的方法和系统。所述技术方案如下一种检测网络失泄密的方法,包括内网客户端向外网监视服务器发送通信请求信息;如果所述内网客户端接收到所述外网监视服务器返回的响应信息,则所述内网客户端报警,并将报警信息报告给内网服务器,所述内网服务器报警。所述内网客户端向外网监视服务器发送通信请求信息,包括所述内网客户端周期性的向所述外网监视服务器发送通信请求信息。所述方法还包括所述内网服务器向所述内网客户端发送确认信息;如果所述内网服务器没有接收到所述内网客户端返回的确认响应信息,则所述内网服务器报警。所述方法还包括所述内网服务器接收所述内网客户端发送的报告信息;如果所述内网服务器没有接收到所述内网客户端发送的报告信息,则所述内网服务器报警。一种检测网络失泄密的系统,包括内网客户端,用于向外网监视服务器发送通信请求信息,当所述内网客户端接收到所述外网监视服务器返回的响应信息时,所述内网客户端报警,并将报警信息报告给内网服务器,所述内网服务器报警;外网监视服务器,用于向所述内网客户端的监视程序返回响应信息。所述内网客户端周期性的向所述外网监视服务器发送通信请求信息。所述系统还包括第一内网服务器,用于向内网客户端发送确认信息,并接收所述内网客户端返回的确认响应信息,当所述内网服务器没有接收到所述内网客户端返回的确认响应信息时, 所述内网服务器报警。所述系统还包括第二内网服务器,用于接收内所述网客户端发送的报告信息,当所述内网服务器没有接收到所述内网客户端发送的报告信息时,所述内网服务器报警。本发明实施例提供的技术方案带来的有益效果是通过在内网客户端安装失泄密监视程序,对内网客户端实行监视,及时检测内网客户端连接外网事件。
图1是本发明实施例1中提供的一种检测网络失泄密的方法;图2是本发明实施例2中提供的一种检测网络失泄密的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。实施例1参见图1,本发明实施例提供了一种检测网络失泄密的方法,包括步骤101 内网客户端向外网监视服务器发送通信信息;步骤102 如果内网客户端接收到外网监视服务器返回的响应信息,则内网客户端报警,并将报警信息报告给内网服务器,内网服务器报警。其中,内网客户端向外网监视服务器发送通信信息,包括
内网客户端周期性的向外网监视服务器发送通信信息。本实施例中方法还包括内网服务器向内网客户端发送通信信息;如果内网服务器没有接收到内网客户端返回的响应信息,则内网服务器报警。其中,方法还包括内网服务器接收内网客户端发送的通信信息;如果内网服务器没有接收到内网客户端返回的通信信息,则内网服务器报警。本发明实施例提供的技术方案带来的有益效果是通过在内网客户端安装失泄密监视程序,对内网客户端实行监视,及时检测内网客户端连接外网事件。实施例2本发明实施例中,内网由内网客户端、内网服务器组成。内网中的内网服务器与每一个客户端相连,记录每个客户端的使用日志。外网是指和监视服务器相连的互联网,监视服务器由第三方控制,用来接收内网客户端监视程序发送的信息。本发明实施例提供了一种检测网络失泄密的方法,每一个内网客户端都安装上失泄密监视程序,当内网客户端运行时,监视程序就会始终运行,监视内网客户端是否与外网相连,具体为步骤201 内网客户端监视程序向外网监视服务器发送通信请求信息。正常运行的内网客户端监视程序会周期性的向外网监视服务器发送通信请求信息,例如每隔2s,以便实现实时监视。其中,监视服务器可以是一台也可以是多台,在这里我们选择两台,目的是避免如果其中一台监视服务器发生故障,不能向内网客户端的监视程序返回信息,从而影响内网客户端监视程序的正确判断,如果向两台监视服务器发送信息, 另一台正常运行的监视器仍能正常向内网客户端监视程序返回信息,不会影响内网客户端监视程序的正确判断。步骤202 外网监视器向内网客户端监视程序返回响应信息。步骤203 内网客户端监视程序接收到外网监视服务器返回的响应信息,则内网客户端报警,并将报警信息报告给内网服务器,内网服务器报警;没有接收到返回的响应信息,则返回步骤201。
正常情况下,由于内网和外网时物理隔离的,内网客户端是不会收到外网监视器返回的信息,如果内网客户端监视程序接收到外网监视服务器返回的响应信息,则表示外网客户端监视程序与外网监视服务器通信成功,内网客户端已与外网相连,则内网客户端立即报警,并且内网客户端的监视程序会将报警信息报告给内网服务器,内网服务器接收到报警信息后报警。其中,报警信息中包括内网客户端的终端标识,终端标识可以是机器名、IP地址、MAC地址等一个或多个唯一标识该终端的信息。如果内网客户端监视程序没有接收到外网监视服务器返回的响应信息,则表示外网客户端监视程序与外网监视服务器通信未成功,内网客户端没有与外网相连,则内网服务器继续监视内网客户端的使用。进一步的,为了监视内网客户端的监视程序运行情况,在内网服务器上也安装相应的监视程序(即监视器),当客户端运行时,内网客户端监视程序会与内网服务器通信, 向内网服务器说明客户端监视程序运行正常,具体为步骤204 内网服务器监视程序向内网客户端发送确认信息。其中,内网服务器的监视程序会定时或不定时的与每一个内网客户端通信,例如, 每隔1分钟通信一次,或是1分钟,2分钟不定时的通信,确认每个内网客户端的监视程序是否正常运行。步骤205 内网客户端监视程序向内网服务器监视程序返回确认响应信息。步骤206 如果内网服务器没有接收到返回的确认响应信息,则内网服务器报警; 如果内网服务器接收到内网客户端监视程序返回的确认响应信息,则执行步骤204。如果内网服务器没有接收到返回的响应信息,则表明内网客户端监视程序运行不正常,内网服务器报警,以提醒工作人员修复内网客户端的监视程序。其中内网客户端监视程序运行不正常可能是监视程序被删除或是被损坏等多种原因,在这里不在赘述。相应的内网客户端监视程序与内网服务器通信也可以是,内网客户端上的监视程序定时或不定时的向内网服务器的发送报告信息,告知内网服务器运行情况,如果内网服务器的监视程序定时或不定时的没有接收到内网客户端监视程序发送的报告信息,则内网服务器报警。其中,发送和接收时间是事先定义的,例如每隔1分钟,或是不定时的1分钟、 2分钟发送和接收。本发明实施例提供的技术方案带来的有益效果是通过在内网客户端安装失泄密监视程序,对内网客户端实行监视,及时检测内网客户端连接外网事件。实施例3参见图2,本发明实施例提供了一种检测网络失泄密的系统,包括内网客户端 301,外网监视服务器302。其中,内网客户端301和内网服务器组成单位内网,外网监视服务器302和互联网相连组成外网。内网客户端301 用于向外网监视服务器发送通信请求信息,当内网客户端接收到外网监视服务器返回的响应信息时,内网客户端报警,并将报警信息报告给内网服务器, 内网服务器报警;外网监视服务器302 用于向内网客户端301的监视程序返回响应信息。内网客户端301周期性的向外网监视服务器302发送通信请求信息。其中,进一步地,系统还包括
第一内网服务器,用于向内网客户端发送确认信息,并接收内网客户端301返回的确认响应信息,当第一内网服务器没有接收到所述内网客户端301返回的确认响应信息时,所述第一内网服务器报警。其中,进一步地,系统还包括第二内网服务器,用于接收内网客户端发送的报告信息,当第二内网服务器没有接收到内网客户端发送的报告信息时,第二内网服务器报警。本发明实施例提供的技术方案带来的有益效果是通过在内网客户端安装失泄密监视程序,对内网客户端实行监视,及时检测内网客户端连接外网事件。最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记体(ROM)或随机存储记忆体(RAM)等。本发明实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。上述的系统,可以执行相应方法实施例中的方法。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种检测网络失泄密的方法,其特征在于,所述方法包括 内网客户端向外网监视服务器发送通信请求信息;如果所述内网客户端接收到所述外网监视服务器返回的响应信息,则所述内网客户端报警,并将报警信息报告给内网服务器,所述内网服务器报警。
2.根据权利要求1所述的方法,其特征在于,所述内网客户端向外网监视服务器发送通信请求信息,包括所述内网客户端周期性的向所述外网监视服务器发送通信请求信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括 所述内网服务器向所述内网客户端发送确认信息;如果所述内网服务器没有接收到所述内网客户端返回的确认响应信息,则所述内网服务器报警。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括 所述内网服务器接收内所述内网客户端发送的报告信息;如果所述内网服务器没有接收到所述内网客户端发送的报告信息,则所述内网服务器报警。
5.一种检测网络失泄密的系统,其特征在于,所述系统包括内网客户端,用于向外网监视服务器发送通信请求信息,当所述内网客户端接收到所述外网监视服务器返回的响应信息时,所述内网客户端报警,并将报警信息报告给内网服务器,所述内网服务器报警;外网监视服务器,用于向所述内网客户端的监视程序返回响应信息。
6.根据权利要求5所述的系统,其特征在于,所述内网客户端周期性的向所述外网监视服务器发送通信请求信息。
7.根据权利要求5所述的系统,其特征在于,所述系统还包括第一内网服务器,用于向内网客户端发送确认信息,并接收所述内网客户端返回的确认响应信息,当所述内网服务器没有接收到所述内网客户端返回的确认响应信息时,所述内网服务器报警。
8.根据权利要求5所述的系统,其特征在于,所述系统还包括第二内网服务器,用于接收内所述网客户端发送的报告信息,当所述内网服务器没有接收到所述内网客户端发送的报告信息时,所述内网服务器报警。
全文摘要
本发明公开了一种检测网络失泄密的方法和系统,属于信息安全领域。所述方法包括内网客户端向外网监视服务器发送通信请求信息;如果所述内网客户端接收到所述外网监视服务器返回的响应信息,则所述内网客户端报警,并将报警信息报告给内网服务器,内网服务器报警。所述系统包括内网客户端,外网监视服务器。本发明通过在内网客户端安装失泄密监视程序,对内网客户端实行监视,及时检测内网客户端连接外网事件。
文档编号H04L29/06GK102404291SQ20101028190
公开日2012年4月4日 申请日期2010年9月14日 优先权日2010年9月14日
发明者崔翔, 方滨兴, 王东滨, 王佰玲, 田志宏, 陆天波 申请人:北京哈工大计算机网络与信息安全技术研究中心